Alexa et Google Home peuvent être exploités pour écouter les utilisateurs et voler leurs mots de passe

Nous sommes nombreux à craquer pour les assistants vocaux tels que Amazon Echo et Google Home, à les utiliser pour contrôler la musique, éteindre les lumières ou tout simplement s’amuser en leur posant des questions idiotes.

Toutefois, tout n’est pas rose et innocent. Les entreprises derrière ces assistants numériques ont régulièrement avoué qu’elles envoyaient des enregistrements à des sous-traitants dans le but d’améliorer les performances de la reconnaissance vocale – des enregistrements que les utilisateurs pensaient être privés et confidentiels.

Les chercheurs de SRLabs ont révélé à quel point il était facile pour des tiers d’exploiter ces assistants dits “intelligentes” pour écouter les conversations de leurs propriétaires et même voler leurs mots de passe et leurs informations de carte de crédit.

L’équipe de SRLabs en Allemagne a découvert deux méthodes potentielles qui peuvent être utilisées de manière similaire avec les appareils Amazon et Google.

Les deux méthodes exploitent le fait qu’après une vérification initiale des fonctionnalités (appelées Skills pour Alexa, l’assistante virtuelle de l’Amazon Echo, et Actions pour le Google Home) récemment soumises par des développeurs tiers, Amazon et Google ne parviennent pas à vérifier le comportement malveillant d’une mise à jour soumise ultérieurement par un de ces développeurs.

 

Scénario d’attaque numéro un :

Une application apparemment innocente est mise à jour par ses développeurs pour faire croire qu’elle ne peut pas s’exécuter. Dans la démonstration vidéo ci-dessous, vous obtenez un faux message d’erreur.

“Cette fonctionnalité n’est actuellement pas disponible dans votre pays.”

avant de se taire.

En règle générale, un utilisateur pense que l’application ne fonctionne plus après avoir entendu le message, mais en réalité, elle est toujours active mais a été programmée pour rester silencieuse pendant un certain temps (peut-être une minute ou plus).

Enfin, l’application diffuse un message de phishing (ou hameçonnage) demandant des informations sensibles. Par exemple:

“Une mise à jour de sécurité importante est disponible pour votre appareil. Veuillez dire ‘commencer la mise à jour’ suivi de votre mot de passe.”

Les assistants vocaux d’Amazon et de Google ne vous demanderaient jamais de dire votre mot de passe à voix haute, mais il est facile d’imaginer à quel point certains utilisateurs pourraient trouver cela normal.

 

Scénario d’attaque numéro deux :

Les chercheurs de SRLabs ont découvert qu’il était également possible d’écouter des conversations aux alentours d’un assistant vocal une fois que les utilisateurs pensent que l’application s’est arrêtée.

Par exemple, sur Google Home, il est possible de créer une application qui envoie constamment des enregistrements vocaux reconnus à un serveur contrôlé par un pirate. Selon SRLabs, cela continue jusqu’à ce qu’il y ait une pause d’au moins 30 secondes de la parole détectée, bien qu’il soit possible de prolonger la période d’écoute clandestine si nécessaire.

Les chercheurs de SR Labs démontrent ce que les professionnels de la sécurité et les défenseurs de la protection de la vie privée disent depuis un certain temps déjà : avoir chez vous un appareil capable d’écouter vos conversations présente des risques.

En particulier, cela peut être une mauvaise idée si les appareils sont capables d’exécuter des applications tierces qui n’ont pas été correctement évaluées par les fabricants de l’assistant vocal, ou si la vérification est insuffisante lors de la sortie de nouvelles versions des applications.

Amazon et Google commettent une grave erreur en estimant qu’une seule vérification lors de la première soumission d’une application suffit pour confirmer que celle-ci se comportera toujours de manière autonome. Il reste encore beaucoup à faire pour protéger les utilisateurs de ces appareils contre les applications indiscrètes.

N’oubliez pas : lorsque vous introduisez un appareil d’écoute dans votre maison, vous ne faites pas seulement confiance au fabricant, mais également aux milliers de développeurs tiers susceptibles de créer les applications que vous exécutez au quotidien. Pourquoi ne pas opter pour une solution globale de protection de votre foyer connecté ?